雖然Wcry ransomware是一個常見的例子,不管如何切片,它在過去幾個星期的傳播迅速增加,使其成為一個值得關注的威脅。這種侵略性的密碼應用程序會擾亂受害者個人文件的內部數據,並將文件加以.wcry擴展名的瑕疵,病毒因此得到這名稱。由於密碼學是此次攻擊工作流程的重要部分,所以將這個後綴替換為正確的後綴,例如 .jpg,.xls,.doc,在數據可及性方面是無濟於事的。因此,名為Photo1.jpg的示例文件將被改名為Photo1.jpg.wcry,這文件是用戶無法取數的。該木馬利用AES-128密碼系統來鎖定數據,因此只要秘密AES密鑰處於受害者處置的狀態,任何進一步的操作才是有效的。
Wcry ransomware顯示的Wanna Decryptor解密窗格
問題是,上述的密鑰在困擾的電腦裡無處可尋。相反,它存儲在犯罪分子的命令和控制服務器上,獲得它的唯一方法是滿足黑客的要求。為了解釋這交易,現任版的Wcry ransomware生成一個名為 “Wanna Decryptor 1.0” 的彈出屏幕,它會提供所發生的以及如何恢復人質文件的概要。該屏幕包含一個俏皮的題字,“Ooops,您的文件已被加密!” 它還顯示兩次倒計時的部分,以迫使受害者盡快掏出錢。其中一個顯示了支付將提高到0.6比特幣之前所剩下的時間,另外一個顯示數據將永久銷毀之前的倒數時間。前者是三天,後者是一個星期。
帶有.wcry擴展名的加密文件
Wcry ransomware還在桌面背景上提供了一個縮寫版本的警告和要求,替代了用戶所定義的原始圖像。另外,它留下了一個明文版的解密手段。文件被稱為 “!Please Read Me!.txt”。要提交贖金,受害者必須使用Wanna Decryptor GUI或任何其他恢復手冊副本里所顯示的Bitcoin地址。雖然騙子承諾在支付贖金後能解開其內部工具的的解密功能,但這是沒有人可以保證的。順便提一句,由於Wcry病毒能達到比本地硬盤驅動器容量或可移動的插入介質更深入的階層,這有擴大問題範圍的可能性。它也可以遍歷網絡驅動器(若有的話),並對其上的所有流行類型的文件進行加密。
這個毀滅性的程序是通過垃圾郵件感染電腦的。雖然有些人可能會認為這種舊時技術已失去了相關性,但網絡犯罪分子證明這想法是錯的。 Wcry ransomware被散播的惡意郵件(惡意垃圾郵件)可能被偽裝成收據,能源賬單,工作機會,錯過的交貨報告,ISP投訴文件,交通違規通知和其他流行的主題。目標是讓收件人打開附加的ZIP文件,其中在表面上安全的包裝下麵包含了惡意的JavaScript文件。不幸的是,很多用戶因為這個伎倆而受騙,最終電腦被感染。在這種情況下,備份像是天賜的,因為在ransomware被刪除後,它們允許電腦進行順利的數據恢復。否則,將只有兩種選擇:支付價值約350美元的贖金,希望壞人會履行承諾將文件恢復; 或者按照以下反映另一種恢復策略的說明。
文章引用出自 http://soft2secure.com.tw/knowledgebase/wcry-ransomware
內文搜尋
從 APP 打開
X